Стандартное заражение компьютера.

[tarantas 1]

Здравствуйте.

коротко. на компе давно заметил присутствие постороннего. стандартные антивирусы не видят проблемы. прошу помощи.

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

info.txt

[Roman_Five 598]

что беспокоит?

2) покажите содержимое файла

C:\Program Files (x86)\Acer\Identity Card\FUB.bat

3) Вы удалили Ваш антивирус макафи с помощью спецутилиты?

[tarantas 1]

Здравствуйте!

1)...однажды заметил на компе увеличение оперативной памяти прямо на глазах (с 2 до 5 гб). потом стали происходить непонятные для меня (как пользователя) движения на компе. стали пропадать некоторые музыкальные файлы, появление файлов с расширением dll в папке документы. в течении периода эксплуатации компа ситема вела себя по разному, вроде с виду все стандартно, а что то не давало перейти на windows 8.1, даже отключался интернет, а звонок провайдеру дал некоторую инфу, типа "с вашего ip адреса велась сетевая атака на другие компы в сети, проверте свой комп на наличие вирусов."...

проверка антивирусом ничего не давала (усе путем-кричал кис13, а впоследствии и кис14). даже восстановление системы на заводские настройки не приносила плодов успокоения. такое впечатление, что шпион проник глубо, аж по самое "самое"...

стандартные скрипты (2.3.7) авз4 выдавали периодами разные результаты. например; скрипт 2 выдавал отчет об отсутствии подозрений, скрипт 3 выдает наличие подозрений . очень часто при проверке стандартными скриптами конкретные обьекты не обозначались в подозрениях, делал ручные настройки на полную эвристику и тогда в отчете проявлялсиь конкретные подозрения с указанием путей и названием подозрения, пример прилагаемый "скриншот" при максимальных настройках эвристики авз.

сегодня 091213 в очередной раз делаю восстановление системы без удаления файлов пользователя (чередование операций с полным восстановлением), и вот снова те же результаты. чехорда в отчетах авз4, вчера они были одни, а сегодня уже другие. причем отчеты могут разниться на количество найденых подозрений. пример: вчера все отчеты авз были произведены в безопасном режиме, и найденные обозначения вредоносов одни. а сегодня, при стандартной загрузке операционки разница в наличие количества найденных обьектов, и даже в их классификации, вот потеха так потеха? а куда подевались вчерашние подозрения? вот логи скрипта 2/3/7. разница видна сразу. скрипт 2 подозрений ноль, скрипты 3/7 указаны обьекты подозрений.

как избавиться от этих подозрений?

2) да, предустановленный макафи был удален спец утилитой.

3) не совсем понял вопрос про показ файла FUB.bat? как его показать? его надо загрузить? а он не хочет грузиться.

virusinfo_syscheck.zip

virusinfo_syscure.zip

virusinfo_syscure.zip

hijackthis.log

[Roman_Five 598]

 

 

2) да, предустановленный макафи был удален спец утилитой.

запустите её ещё раз в безопасном режиме. следов от макафи - тьма.

 

 

 

 

как его показать?

то, что внутри. текстом.

[tarantas 1]

макафи-запустил в безопасном режиме спецутилиту, и ЧО? ничего не произошло. быстренько бегунок пробежал и все, клос.

а файл этот FUB. bat - там внутри нет ничего...или я что то не до понял? рассшифруйте для пользователя конкретно фразу "то что внутри текстом", так чтобы мозг обывателя понял это.

устал. пшел в люлю...до связи

[thyrex 1 468]

Откройте содержимое FUB. bat в Блокноте и процитируйте

[tarantas 1]

здравствуйте. 

благодарю за подсказку по открытию этого файла, но я перед сном  удалил эти 2 файла из папки на всякий случай. acer не обеднеет от этого. 

[tarantas 1]

@ECHO OFF

 

 

SET UPDATEDIR=%~dp0

 

CHDIR %UPDATEDIR%

 

Start /WAIT /B FUB.exe

 

 

IF EXIST c:\windows\OEM\identityCard\FUB.ini (GOTO DELETETSK) ELSE (GOTO CHECKD)

 

:CHECKD

 

IF EXIST d:\windows\OEM\identityCard\FUB.ini (GOTO DELETETSK) ELSE (GOTO CHECKE)

 

:CHECKE

 

IF EXIST e:\windows\OEM\identityCard\FUB.ini (GOTO DELETETSK) ELSE (GOTO CHECKF)

 

:CHECKF

 

IF EXIST f:\windows\OEM\identityCard\FUB.ini (GOTO DELETETSK) ELSE (GOTO CHECKG)

 

:CHECKG

 

IF EXIST g:\windows\OEM\identityCard\FUB.ini (GOTO DELETETSK) ELSE (GOTO END)

 

 

:DELETETSK

 

 

Start /WAIT /B SchTasks /Delete /TN FUB /F

 

:END

 

 

EXIT /B

а далее еще вопрос. почему скрипты 2 и 3 так сильно разнятся по определению подозрений.

сегодня опять или снова сделал восстановление системы без удаления файлов пользователя и потом сразу же делаю скрипты 2, 3, и вижу просто сказку. скрипт 2 -подозрений 0, а скрипт 3 выдал - 4 подозрения, с указанием конкретно наименований типа "Подозрение на Backdoor.Win32.Agent.gjs ( 059C39CF 05214DB2 0020F275 001EACCF 45568)"; Подозрение на Trojan-Proxy.Win32.Agent.ctf ( 0401D9BD 02025B4E 0024AC4D 00000000 14848). воистину авз может башку снести юзеру.  

virusinfo_syscure.zip

virusinfo_syscure.zip

[Roman_Five 598]

проверьте эти "подозрительные" файлы на virustotal.com

ссылки на результаты проверки приложите.

[tarantas 1]

пока туда сюда, перешел на виндоус 8.1, вернул на место кис14, просканировал кис-ом систему (полная проверка) и ничего нет. вроде все нормально. выкл. кис14, делаю проверочные скрипты 2/3 авз, еще пару дней назад замечено, что на скрипте 7 авз падает в разных режимах загрузки компа.

скрипты 2 - ноль подозрений, скрипт 3 -выдал подозрения присуще вирусам 35% аж много количества строчек. я уже перестал их считать (просто надоело).

прогнал еще раз кисом в безопасном режиме (кис14 заработал в безопасном режиме, что раннее не наблюдалось).

проверил пару файлов из тех подозрительных на "вирус тотал", плюнул на все, ибо надо тратить много времени на эту хрень, удалил эту "поганную" АВЗ  с компа, ибо она может довести до паронои обывателя и буду встречать новый

...и буду встречать  новый год со "спокойной душой". вот есть стандартный антивирус кис14, вот пусть и работает, за него бабки заплачены. а ломать свой мозг о том, что там какая то "дохлая" авз заподозрела чего там и в таком то количестве, увольте - обрыдло все до мозга костей.

всем спасибо за потраченное время. всех с наступающим новым годом!!!

[Roman_Five 598]

Сообщение от модератора Roman_Five

закрыто!